MITRE ATT&CK 框架已成为全球网络安全防御的通用语言。塞讯安全实验室发现，2024 年攻击者更依赖“隐蔽性”和“自动化”技术，93%的攻击集中于十大核心手段。本文从技术原理、攻击案例和防御实践等方面解读这些技术的运作逻辑。

技术 1：进程注入（T1055）——隐身的艺术

核心原理通过 API（如VirtualAllocEx和CreateRemoteThread）将恶意代码注入合法进程（如 explorer.exe、svchost.exe）的内存空间，利用目标进程的权限和信任状绕过检测。

子技术演变

• DLL注入：将恶意动态链接库加载到目标进程（如利用 PowerShell 反射注入）。

• 进程镂空（Process Hollowing）：创建挂起的合法进程后替换其内存内容（如 REMCOS RAT 注入 iexplore.exe）。

• 线程劫持（Thread Hijacking）：劫持系统线程执行恶意指令（如 Lumma Stealer 攻击链）。

攻击案例

• RomCom APT组织：利用 CVE-2024-9860 漏洞，通过进程注入部署后门程序。

• RedLine Stealer：将恶意代码注入 vbc.exe（Visual Basic 编译器进程），伪装为编译行为。

防御建议

• 部署内存保护工具（如 Microsoft Defender Credential Guard）。

• 监控进程行为异常（如非系统进程调用WriteProcessMemory）。

技术 2：命令与脚本解释器（T1059）——攻击者的瑞士军刀

滥用场景

• PowerShell：下载载荷（Invoke-WebRequest）、禁用防御（Set-MpPreference -DisableRealtimeMonitoring $true）。

• Bash/Python：在 Linux 系统中横向移动（如利用 Cron 任务持久化）。

隐蔽手法

• 无文件攻击：通过内存加载恶意脚本（如 PowerShell 调用. NET Assembly) 。

• 合法工具滥用：利用 PsExec、WMIC 等系统工具执行恶意命令。

攻击案例

• Black Basta 勒索软件：通过 PowerShell 脚本关闭 Windows Defender 实时监控。

• Earth Estries APT组织：使用 Bash 脚本在 Linux 服务器上部署挖矿木马。

防御建议

• 启用脚本日志（如 PowerShell 脚本块日志）。

• 限制高危命令执行（如 AppLocker 白名单策略）。

技术 3：密码存储凭据（T1555）——钥匙的失窃

攻击路径

• 浏览器凭证：解密 Chrome 的 Login Data 文件或 Firefox 的 key4.db。

• 密码管理器：利用内存抓取工具（如 Mimikatz）提取主密码哈希。

高级手法

• 云密钥劫持：通过 AWS CLI 窃取 IAM 凭证（如 SCARLETEL 行动）。

• 硬件安全模块（HSM）攻击：针对企业级密码管理设备的侧信道攻击。

防御建议

• 启用硬件安全密钥（如 二次身份认证（2FA）硬件替代纯密码认证。）

• 定期轮换凭证并监控异常访问（如 AWS CloudTrail 日志分析）。

技术 4：应用层协议（T1071）——隐身的通信隧道

技术细分

• HTTPS/DoH：将 C2 流量伪装为正常网页请求（如 DarkGate 恶意软件）。

• DNS隧道：通过 TXT 记录传递指令（如 Cobalt Strike Beacon）。

攻击案例

• Water Hydra APT组织：利用 HTTPS 协议外泄数据，流量特征模仿 Google Analytics。

• GhostEngine 僵尸网络：通过 DNS-over-HTTPS 隐藏矿池通信。

防御建议

• 部署网络流量基线分析（如 NTA 或 NDR 网络威胁流量分析异常协议检测）。

• 强制解密审查（如 TLS 1.3 中间人解密策略）。

技术 5：防御破坏（T1562）——攻击者的“盲区”

核心原理攻击者通过禁用或篡改安全工具、日志和防火墙配置，削弱目标系统的防御能力，确保其恶意活动不被发现。

子技术演变

• 禁用安全工具：通过注册表修改关闭 Windows Defender（如reg add HKLMSOFTWAREPoliciesMicrosoftWindows Defender /v DisableAntiSpyware /t REG_DWORD /d 1）。

• 篡改日志：删除 Windows 事件日志（如wevtutil.exe cl Security）。

• 修改防火墙规则：通过netsh命令允许恶意流量（如netsh firewall set opmode mode=disable）。

攻击案例

• Mallox 勒索软件：通过 EtwEventWrite 补丁技术禁用日志生成。

• RansomHub：利用 EDRKINShifter 工具禁用 EDR 和杀毒软件。

防御建议

• 启用日志完整性保护（如 Windows Event Log Forwarding）。

• 部署行为分析工具（如 EDR、HIDS）。

技术 6：通过数据加密破坏（T1486）——勒索的终极武器

核心原理攻击者通过加密关键数据（如财务记录、客户合同）迫使受害者支付赎金，同时删除备份以防止恢复。

子技术演变

• 文件加密：使用 AES-256 加密算法锁定关键文件（如 Black Basta 勒索软件）。

• 卷影副本删除：通过 PowerShell 命令删除备份（如Get-WmiObject Win32_ShadowCopy | Remove-WmiObject）。

攻击案例

• Akira 勒索软件：利用 PowerShell 脚本删除卷影副本，确保数据无法恢复。

• Black Basta：通过双重勒索策略，加密数据后威胁公开泄露。

防御建议

• 定期备份并离线存储关键数据。

• 启用文件完整性监控（如 EDR、HIDS）。

技术 7：系统信息发现（T1082）——攻击者的“地图”

核心原理攻击者通过枚举系统信息（如操作系统版本、网络配置）了解目标环境，为后续攻击做准备。

子技术演变

• 网络扫描：使用 Nmap 或 PowerShell 脚本枚举网络设备（如1..254 | % { Test-Connection -ComputerName "192.168.1.$_" -Count 1 }）。

• 域信息收集：通过net group /domain命令获取域管理员列表。

攻击案例

• BianLian 勒索软件：利用systeminfo命令收集系统配置信息。

• 多个 APT组织：通过net user /domain命令枚举域用户。

防御建议

• 限制高危命令执行权限。

• 部署网络分段和微隔离策略。

技术 8：输入捕获（T1056）——键盘上的“间谍”

核心原理攻击者通过键盘记录、屏幕截图和剪贴板监控，窃取用户的敏感信息（如密码、信用卡号）。

子技术演变

• 键盘记录：通过钩子函数（如SetWindowsHookEx）捕获用户输入。

• 屏幕截图：利用 Python 的 PIL 库定时截屏（如 CarnavalHeist 恶意软件）。

• 剪贴板监控：实时捕获剪贴板内容（如 Agent Tesla 恶意软件）。

攻击案例

• Atomic Stealer：通过 AppleScript 捕获 macOS 用户的键盘输入。

• Snake Keylogger：利用 SMTP 协议外泄截屏和剪贴板数据。

防御建议

• 启用用户行为分析（如 UEBA 工具）。

• 部署数据防泄露（DLP）解决方案。

技术 9：启动或登录启动自动执行（T1547）——持久化的“种子”

核心原理攻击者通过修改启动项或创建计划任务，确保恶意程序在系统重启或用户登录时自动执行。

子技术演变

• 注册表自启动：通过HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun添加恶意程序路径。

• 计划任务：利用schtasks命令创建定时任务（如schtasks /create /tn "SystemMonitor" /tr "C:WindowsTempsvchost.exe" /sc DAILY）。

• 服务创建：通过sc create命令伪装成系统服务（如sc create SystemMonitor binPath= "C:WindowsTempsvchost.exe"）。

攻击案例

• SneakThief 恶意软件：通过注册表启动项确保持久化。

• LemonDuck 挖矿木马：利用计划任务定期执行恶意脚本。

防御建议

• 定期审计启动项和计划任务。

• 部署端点检测与响应（EDR）工具。

技术 10：本地系统数据（T1005）——数据的“收割者”

核心原理攻击者通过搜索本地文件系统，收集敏感数据（如财务记录、客户信息）用于后续攻击或外泄。

子技术演变

• 文件搜索：通过findstr命令查找敏感文件（如findstr /spin "password" *.txt）。

• 数据库导出：利用mysqldump导出 MySQL 数据（如mysqldump -u root -p database > dump.sql）。

• 剪贴板监控：实时捕获剪贴板内容（如 Agent Tesla 恶意软件）。

攻击案例

• BianLian 勒索软件：通过findstr命令搜索包含“password”的文件。

• Akira 勒索软件：利用esentutl.exe导出浏览器存储的密码。

防御策略

• 启用文件访问控制（如 NTFS 权限）。

• 部署数据加密和访问审计。

十大 MITRE ATT&CK 技术不仅是针对攻击者的战术、技术的总结与汇总，更是防御者的“战术地图”。通过持续监控、行为分析和自动化响应，企业可以在攻防博弈中占据主动。

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）